【中小企業こそ要注意！】サプライチェーン攻撃で狙われる理由...。身を守るための方法も解説

近年増加しているサプライチェーン攻撃。

多くの中小企業が「うちは大企業じゃないから大丈夫」と思いがちですが、むしろそんな中小企業こそが、攻撃のターゲットにされる可能性があるのです。今回は、なぜ中小企業がサプライチェーン攻撃で狙われるのか、そして皆さんの会社をこの脅威から守るための具体的な対策を解説します。

サプライチェーン攻撃とは、標的とする企業に直接侵入するのではなく、その企業のサプライチェーン（供給網）に含まれる取引先や業務委託先を足がかりとして侵入を試みるサイバー攻撃です。

例えば、あなたの会社が大企業と取引がある場合、あなたの会社のシステムが取引先企業への「踏み台」として悪用されるリスクがあるのです。

中小企業がサプライチェーン攻撃により狙われやすい理由は、主に以下の3点が挙げられます。

①大企業への「踏み台」にされやすい

大企業は、既に高度なセキュリティ対策を講じている場合が多いです。そのため攻撃者は正面突破を避け、比較的セキュリティ対策が手薄な中小企業を狙い、そこから本命の大企業へ侵入する「踏み台」として利用します。

②セキュリティ対策への意識・リソース不足

多くの中小企業ではセキュリティ専門の人材が不足しており、予算も限られているのが実情です。その結果、OSやソフトウェアのアップデートが滞っていたり、セキュリティソフトの導入が不十分であったりするケースが散見されます。こうしたセキュリティの隙が、攻撃者にとっての絶好の侵入口となります。

③取引先との信頼関係の悪用

企業間のビジネスでは、取引先からのメールやファイルは疑うことなく開いてしまうのが一般的です。攻撃者はこの「信頼関係」を悪用し、正規のメールを装ってマルウェアを送りつけたり、偽のログインページへ誘導して認証情報を詐取したりする手口を使うことがあります。

ここまでに記述したように、中小企業はサプライチェーン攻撃の「入口」となるリスクがあります。サプライチェーン攻撃から自社や取引先企業を守るためには、受け身ではなく積極的に対策を講じる必要があるのです。

そこで以下の4つの対策を推奨します。

対策1：セキュリティの基本対策を徹底する

• OSやソフトウェアの最新化
  利用しているOSや業務で使う各種ソフトウェアは、常に最新バージョンにアップデートし、セキュリティパッチを迅速に適用してください。
  脆弱性を放置することは、鍵をかけずに開けっ放しにされているドアと同じ状態です。
  
  
• 強力なパスワードの設定と多要素認証（MFA）の導入
  推測されにくい複雑なパスワードを設定し、複数のサービスで使い回すことは避けた方が良いでしょう。
  また可能であれば、多要素認証（MFA）を導入しましょう。
  これは、パスワードだけでなくスマートフォンアプリや生体認証など、複数の要素で本人確認を行うことで、パスワードが漏洩しても不正アクセスを防ぐために有効な手段です。
  
  
• 不審なメール・サイトへの注意
  検索結果の上位に表示されたからといって、安全なWebサイトとは限りません。
  よくアクセスするWebサイトなどは、検索結果からアクセスするのではなく、あらかじめ公式URLをブックマークしておきましょう。
  メールは送信元アドレスを確認するとともに、不安をあおるような件名・内容のメールは、慌ててメール本文のリンクをクリックしたり、添付ファイルを開いたりせず、周囲に相談したりする行動も必要です。
  不審なメールを受信した場合の相談先を平常時に確認しておきましょう。
  
  
• セキュリティソフトの導入と更新
  信頼できるエンドポイントセキュリティソフト（アンチウイルスソフト）を全てのデバイスに導入し、常に最新の状態に保つことが必須です。
  
  
• データの定期的なバックアップ
  万が一システムがマルウェアに感染したり、データが暗号化されたりした場合に備え重要なデータは定期的にバックアップし、オフライン環境で保管するなどの対策を講じましょう。

対策2：取引先との連携と契約時の確認

• 取引先からのセキュリティ要件の理解と対応
  大企業が取引契約する際、取引先に情報取り扱いに関する指示書やセキュリティチェックリストの提出を求めるケースが増えています。要求を理解し、基準を満たすよう対応しましょう。
  取引先から求められるセキュリティ基準を満たすことで、信頼関係の構築にもつながります。

• 不明点や困難な点は相談
  セキュリティ要件が理解できない場合や対応が難しい場合、取引先に確認したり、必要に応じて外部の専門家に相談したりしましょう。
  無理に「対応済み」とせず、正直に状況を伝え、改善計画を提示する姿勢が重要です。

• 問題発生時の報告体制の確認
  自社でセキュリティインシデントが発生した場合にすぐ報告・連携できる体制を構築しておきましょう。

対策3：従業員へのセキュリティ教育を徹底する

どんなに優れたセキュリティシステムを導入しても、「人」が最大の弱点になり得ます。
従業員一人ひとりのセキュリティ意識が、会社を守る最後の砦となります。

• 定期的な研修の実施
  具体的な事例（例：実際にあったフィッシングメールのサンプル）を交えた、実践的なセキュリティ研修の実施。
  →フィッシングメールの見分け方、不審なサイトへのアクセス防止、安全なパスワード管理、ソーシャルエンジニアリングの手口など
  
  
• 情報共有の徹底とルールの明確化
  最新の脅威情報や情報セキュリティポリシー、社内ルールなどを、従業員全体に分かりやすく共有する仕組みを構築しましょう。ポスター掲示、社内イントラネットでの情報公開、定期的なメール配信などが考えられます。
  
  
• インシデント報告の奨励
  万が一、従業員が不審な事象（不審なメールを開いてしまった、見慣れない挙動をしているなど）を発見した際に、すぐに報告できる体制を整えましょう。早期発見・早期対応が被害を最小限に抑える鍵となります。

対策4：インシデント発生時の対応計画を策定する

「もしも」の事態は突然やってきます。
インシデント発生時に慌てないよう、事前の計画が極めて重要です。

• 緊急連絡体制の確立
  サイバー攻撃を受けた際に、誰が・誰に・どのように連絡するかを明確にした緊急連絡網を作成し、関係者間で共有しておきましょう。経営層、情報システム担当者、法務担当者、外部の専門家など、必要な連絡先をリストアップしておきましょう。
  
  
• 被害状況の把握と隔離手順の明確化
  攻撃を受けた際、被害の範囲を特定し、感染源を隔離する手順を具体的に定めておきましょう。（例：ネットワークから感染したPCを切り離す、サーバーのアクセスを制限するなど）
  
  
• 復旧計画の策定
  バックアップからのデータ復旧手順や、システムの再構築手順などを具体的に計画し、テスト運用も行っておきましょう。復旧までの時間を最小限に抑えることが、事業継続には不可欠です。
  
  
• 外部専門家との連携体制の構築
  自社だけでは対応しきれない事態に備え、サイバーセキュリティの専門家や法務の専門家と、あらかじめ連携できる体制を構築しておきましょう。

サプライチェーン攻撃において、中小企業のセキュリティ対策の「隙」が攻撃者の主要な「入り口」として狙われやすいということを認識していただけたでしょうか。

基本的なセキュリティ対策を徹底し、取引先と連携を取り、そして最も重要な「人」の意識を高めること。これらを継続的に実施することが、サプライチェーン攻撃から皆さんの会社を守り、ひいては日本の経済活動を守ることに繋がります。

自社のセキュリティ対策に不安を感じている場合は、ぜひ一度ご相談ください。